Het is geen kwestie van óf maar wánneer je te maken krijgt met een ransomware-aanval. Het is daarom verstandig om een plan van aanpak klaar te hebben en te weten wat er in een worstcasescenario kan gebeuren. Het ergste scenario is natuurlijk een aanval waarvan een bedrijf niet kan herstellen en de deuren moet sluiten.
Zo verloor een derde van de door ransomware getroffen bedrijven in Nederland klanten en ging van deze groep uiteindelijk een op de zes failliet. Met het juiste plan en de juiste technologieën is het worstcasescenario te vermijden.
Verschillende worstcasescenario’s
- Aanvaller besmet systeem met ransomware en krijgt toegang tot data
Een ransomware-aanvaller koopt vaak login-informatie op het darkweb om toegang te krijgen tot een systeem. Eenmaal binnen, blijft de ransomware-aanvaller meestal enige tijd in de omgeving om backdoors aan te brengen die ervoor zorgen dat hij toegang houdt. Vervolgens wordt er ransomware op het systeem geïnstalleerd, die meestal onopgemerkt op de achtergrond blijft totdat de aanvaller besluit om de aanval te laten beginnen. Op dit punt gebruikt de aanvaller een command-and-control-server om de omgeving te besturen en de daadwerkelijke ‘encryptie’ te starten.
Vaak merkt een organisatie pas dat er een ransomware-aanval heeft plaatsgevonden als een gebruiker een versleuteld bestand probeert te openen. Het lukt niet om erin te komen of de gebruiker ontvangt een bericht van de aanvaller dat alle data zijn versleuteld. Een ander signaal kan zijn dat een storage array wordt gevuld met niet-comprimeerbare, versleutelde data.
- Malware infecteert of verwijdert active directory
Active directory (ad) is een belangrijk doelwit voor aanvallers omdat het de basis vormt van de gebruikers- en systeemaccounts en data van de meeste organisaties. Als de ad gecompromitteerd is, dan is de volledige controle over de it-infrastructuur verloren. In een onderzoek werd de volgende vraag gesteld: in welke mate zou uw bedrijf worden getroffen als een ransomware- of wiper-aanval uw domeincontrollers (dc’s) zou uitschakelen en ad zou uitvallen? Op deze vraag gaf ruim tachtig procent van de respondenten aan dat de aanval een aanzienlijke, ernstige of zelfs catastrofale impact zou hebben.
- Domain name system (dns) raakt beschadigd
Ransomware kan leiden tot dns-spoofing, cache-poisoning of hijacking. Al deze aanvallen betekenen dat gebruikers niet op de gewenste websites kunnen komen en naar kwaadaardige sites kunnen worden omgeleid. Terwijl voor spoofing en hijacking een fysieke overname van de dns-instellingen nodig is, is cache-poisoning mogelijk gedaan door een vervalst dns-entry in de dn-cache te injecteren. Gebruikers worden hierdoor naar een ander ip-adres gestuurd dan dat van de echte website. Sommige ransomware-aanvallers beginnen voor het wegsluizen van data ook dns-tunneling te gebruiken in plaats van http. Voor aanvallers is dit vrij eenvoudig te doen, maar voor securitytools is dat moeilijk te detecteren.
- Aanvaller manipuleert tijdservices van het systeem
Tijdservices (de klok) zijn essentieel voor veel it-operaties. Backups en andere taken worden ingepland en achter de schermen automatisch uitgevoerd. Als de tijd of de datum van de systemen binnen het netwerk wordt gewijzigd, kan dit leiden tot een domino-effect van problemen.
- Backups buitenwerking
Hoewel dit probleem niet noodzakelijk te wijten is aan de ransomware-aanval, kunnen de problemen aanzienlijk verergerd worden als back-ups vernietigd, beschadigd of verloren blijken te zijn tijdens een ransomware-aanval. Tapes en harde schijven werken na verloop van tijd niet goed meer, dus het is cruciaal om deze regelmatig te testen als onderdeel van de voorbereiding op het worstcasescenario. Het is ook verstandig om ervoor te zorgen dat mensen die het bedrijf hebben verlaten van de rechtenlijsten worden verwijderd en dat de juiste mensen weten waar de backups zijn. Sommige bedrijven stappen over op meer robuuste snapshot-architecturen om problemen door defecte backups te voorkomen.
- Incident-response van bedrijf schiet tekort
Het kiezen van het juiste incident-response (ir)-team is een cruciaal onderdeel van een voorbereidingsstrategie. De ir-provider moet gevalideerd zijn bij uw verzekeringsbedrijf en altijd beschikbaar zijn via een vast servicecontract (retainer). Net als bij backups moeten ook ir-providers getest worden – hetzij met theoretische wat-als-scenario’s, tabletop-workshops, of een volledige gesimuleerde aanval.
- Reputatieschade in de media.
De reputatie van een bedrijf is ongelooflijk belangrijk. Hoewel ransomware-aanvallen steeds vaker voorkomen, willen klanten nog steeds weten dat er alles aan gedaan wordt om hun data en belangen te beschermen, zelfs in het geval van een aanval. Een deel van de planning is het beslissen hoe de communicatie rond een incident wordt aangepakt, er moet van tevoren in ieder geval een globaal idee zijn van hoe er gereageerd gaat worden.
- Juridische gevolgen zijn te hoog
Wanneer ransomware toeslaat, heeft dit juridische implicaties waar rekening mee gehouden moet worden. Zo kan er een stortvloed aan rechtszaken komen van klanten. De organisatie is tegen dit soort rechtszaken te beschermen door er zorg voor te dragen dat de securitylogs goed beschermd zijn. Bij een rechtszaak kan het incident dan gereproduceerd worden en/of is aan te tonen dat het bedrijf de juiste beschermingsmaatregelen heeft genomen en dat die ten tijde van het incident van kracht waren.
Perfecte storm
Als een worstcasescenario zich voordoet en al deze factoren samenkomen om een ‘perfecte storm’ van catastrofes te creëren, zal het lastig zijn om alles correct of effectief te managen. Een goede voorbereiding is dan het halve werk! Er is niemand gegarandeerd veilig voor een ransomware-aanval, maar als er een noodhulpteam en -plan klaar ligt, dan kan een volledige ramp voorkomen worden – wat een duur, tijdrovend handmatig herstelproces kan vergen.